新的KingMiner威脅顯示加密貨幣挖掘軟體的進化
近期發現, 加密貨幣挖掘操作可強制訪問Windows 伺服器,並利用CPU週期建立門羅幣 。六個月前檢測到該活動,自此該活動已經過多個階段的進化。
六月中旬檢測到該活動後,該惡意軟體已進行兩次更新,且從未停止攻擊。
E挖掘門羅幣與逃避檢測
CheckPoint研究人員分析了該新威脅,並將其命名為“KingMiner”。研究人員發現,此次威脅專門針對微軟IIS與SQL伺服器,並利用暴力破解攻擊獲取訪問權。成功入侵後,惡意軟體將確定CPU架構,檢查其自身的舊版本並刪除它們。
該惡意軟體利用免費提供的XMRig礦工建立門羅幣,為免受窺視,其私人採礦池所在的配置檔案禁用了API。
為防止研究人員檢測它的餘額,其檔案中顯示的錢包地址並不用於公共挖礦。
據研究人員稱,配置規定礦工可使用75%的CPU資源,但可能由於程式碼中存在錯誤,實際操作中,礦工使用了100%的處理器。
KingMiner實現了多種針對模擬環境的防禦,並利用偽裝為ZIP檔案的XML有效負載檢測並記錄某些防病毒引擎的低速率。
CheckPoint表示,“ 使用逃避技術是成功發起攻擊的重要因素 。”並補充道,該惡意軟體用以繞過模擬與檢測方法的技術並不複雜。
在六月到十月的這三個月中,KingMiner不斷通過混淆有效載荷與修改挖礦程式所用的配置檔案進行改進。
所有這些修改都可降低VirusTotal的檢測率, 該惡意軟體的最新兩個版本僅被不到7個防病毒引擎標記為惡意軟體 。
CheckPoint遙測資料表明,KingMiner感染範圍“從墨西哥到印度,從挪威到以色列。”
KingMiner使用簡單的方法便可成功躲過安全產品的檢查。該公司預測,2019年,加密挖掘攻擊將繼續發展並且在逃避檢測方面更成熟。
E安全注:本文系E安全由國外公開媒體蒐集並獨家編譯報道,轉載請聯絡授權,並保留出處與連結,不得刪減內容。聯絡方式:① 微信號j871798128②郵箱②郵箱[email protected]
E安全,最專業的前沿網路安全媒體和產業服務平臺,每日提供優質全球網路安全資訊與深度思考,歡迎關注微信公眾號「E安全」(EAQapp),或登E安全入口網站戶網站戶網站戶網站www.easyaq.com , 查 , 檢視更多精彩內容。